Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'msexcel' = '%HOMEPATH%\Documents\excels'
- [<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%HOMEPATH%\Documents\excels'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'office' = '%PROGRAMDATA%\msword\mtword.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\excels
- %TEMP%\document.pdf
- %TEMP%\svuhost.exe
- %TEMP%\tslmngt.exe
- %TEMP%\rundll.exe
- %PROGRAMDATA%\msword\mtword.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\documents\excels
- <Полный путь к файлу>
- %PROGRAMDATA%\msword\mtword.exe
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ma######le5721.hopto.org
Другое
Ищет следующие окна
- ClassName: 'AdobeAcrobat' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\svuhost.exe'
- '%TEMP%\tslmngt.exe'
- '%TEMP%\rundll.exe'
- '%PROGRAMDATA%\msword\mtword.exe'
- '%PROGRAMDATA%\msword\mtword.exe' 1880
- '%WINDIR%\syswow64\cmd.exe' /k attrib "<Полный путь к файлу>" +s +h' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /k attrib "<Текущая директория>" +s +h' (со скрытым окном)
- '%WINDIR%\syswow64\notepad.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k attrib "<Полный путь к файлу>" +s +h
- '%WINDIR%\syswow64\cmd.exe' /k attrib "<Текущая директория>" +s +h
- '%WINDIR%\syswow64\attrib.exe' "<Полный путь к файлу>" +s +h
- '%WINDIR%\syswow64\attrib.exe' "<Текущая директория>" +s +h
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\DOCUMENT.PDF"
- '%WINDIR%\syswow64\notepad.exe'
